fbpx

Наши представительства: 

Заказать обратный звонок
btn

Команда CrowdStrike провела исследование программы-вымогателя PartyTicket, нацеленной на украинские компании

Релиз

23 февраля 2022 был проведен ряд разрушительных кибератак, направленных на украинские организации. Согласно отраслевым отчетам, в нескольких организациях, непосредственно пострадавших от атаки, была обнаружена Go-based программа-вымогатель под названием PartyTicket (или HermeticRansom). Вместе с ней были идентифицированы и другие семейства вредоносных программ, включая программу типа Wiper, которую разведка CrowdStrike отслеживает как DriveSlayer (HermeticWiper).

Анализ программы-вымогателя PartyTicket показал, что она реализует достаточно поверхностное шифрование файлов, неправильно инициализируя ключ шифрования, что позволяет дешифровать зашифрованный файл с соответствующим расширением. .encryptedJB.


Технический анализ

Экземпляр программы-вымогателя PartyTicket имеет хэш SHA256 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Было отмечено, что он связан с именами файлов cdir.exe, cname.exe, connh.exe и intpub.exe.

Экземпляр программы-вымогателя, написанный с помощью Go версии 1.10.1, содержит много символов, которые ссылаются на политическую систему США, включая voteFor403, C:/projects/403forBiden/wHiteHousE и primaryElectionProcess.

Программа-вымогатель перебирает буквы всех дисков и рекурсивно перечисляет файлы на каждом диске и его подпапках, за исключением путей к файлам, содержащим строки Windows и Program Files, а также пути к папке C:\Documents and Settings (последняя папка была заменена в версиях Windows, Windows XP, C:\Users). Для шифрования выбираются файлы со следующими расширениями:


acl, avi, bat, bmp, cab, cfg, chm, cmd, com, contact, crt, css, dat, dip, dll, doc, docx, dot, encryptedjb, epub, exe, gif, htm, html, ico, in, iso, jpeg, jpg, mp3, msi, odt, one, ova, pdf, pgsql, png, ppt, pptx, pub, rar, rtf, sfx, sql, txt, url, vdi, vsd, wma, wmv, wtv, xls, xlsx, xml, xps, zip


Для каждого пути к файлу, проходящему ранее описанные проверки, ransomware копирует собственный экземпляр в тот же каталог, из которого он был запущен, и запускает его через командную строку, передавая путь к файлу в качестве аргумента. Родительский процесс ransomware присваивает имена своим клонам с помощью случайного UUID, созданного общедоступной библиотекой, использующей текущую метку времени и MAC-адреса сетевых адаптеров зараженного хоста.

Разработчик вредоносной программы пытался использовать типы WaitGroup языка Go для реализации многопоточности, но из-за вероятной ошибки в кодировании программа создает большое количество потоков (по одному на перечисленный путь к файлу) и копирует собственный двоичный файл в текущий каталог столько раз, сколько было выбрано файлов. После завершения всех потоков шифрования исходный двоичный файл удаляет себя через командную строку.

Когда экземпляр получает путь к файлу в качестве аргумента, он шифрует его с помощью AES в режиме Galois/Counter (GCM). Ключ AES генерируется с помощью функции Intn пакета Go rand для выбора смещения в массиве символов 1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ, генерируя 32-байтовый ключ Из-за вероятной ошибки в кодировании затравка для функции Intn обновилась после генерации ключа, то есть при каждом запуске бинарного файла и его клонов генерируется один и тот же ключ AES. Все файлы, зашифрованные на хосте, шифруются тем же ключом, и знание ключа соответствующего экземпляра PartyTicket позволяет расшифровать их. Сценарий, использующий этот недостаток для восстановления зашифрованных файлов, доступен в Git-репозитории CrowdStrike.

Для каждого файла ключ шифрования AES сам шифруется с помощью RSA-OAEP, используя открытый ключ RSA, который имеет следующие параметры:

Modulus (N): 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
Exponent (E): 0x10001


Перед шифрованием программа-вимогатель переименовывает файл в формате <original file name>.[[email protected][.]com].encryptedJB ("JB", вероятно, означает инициалы президента США Джозефа Байдена, учитывая политическое содержание бинарного файла). Затем приложение-вымогатель перезаписывает содержимое зашифрованными данными. PartyTicket шифрует только первые 9437184 б (9,44 МБ) файла. Если размер файла, переданного в качестве аргумента больше лимита, все данные, превышающие ограничения, остаются незашифрованными. После шифрования содержимого файла PartyTicket добавляет к концу файла ключ AES, зашифрованный с помощью RSA.

Перед началом шифрования программа пишет выкупную HTML-заметку в каталог рабочего стола пользователя с названием read_me.html (рисунок 1). Если это не намеренные ошибки, грамматические конструкции в заметке свидетельствуют о том, что она, вероятно, не была написана или вычитана человеком, свободно владеющим английским.

Рисунок 1. Выкупная записка


Анализ

Сначала аналитическая служба CrowdStrike не приписывала деятельность программы PartyTicket конкретному злоумышленнику.

Программа-вымогатель содержит ошибки в реализации, что делает ее шифрование медленным и легко взламываемым. Этот недостаток говорит о том, что автор вредоносной программы либо не имел опыта написания на языке Go, либо приложил мало усилий для ее тестирования, возможно из-за ограниченного времени разработки. В частности, PartyTicket не так совершенен, как DriveSlayer, реализующий низкоуровневую схему анализа NTFS Относительная незрелость и политическая направленность этой программы-вымогателя, время ее развертывания и ориентация на украинские организации позволяют предположить, что она используется как дополнительная полезная нагрузка к DriveSlayer, а не как стандартная программа-вымогатель.


Сигнатуры YARA

Для обнаружения PartyTicket можно использовать следующее правило YARA:


Сценарий для расшифровки файлов

Из-за выше описанных ошибок в генерации ключа AES, используемого PartyTicket в процессе шифрования, его можно расшифровать. Следующий скрипт Go расшифровывает файлы, зашифрованные экземпляром PartyTicket 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382. Скрипт принимает файл для расшифровки в качестве аргумента через flag "-p" и сохраняет расшифрованный результат в "decrypted.bin" в том же каталоге. Сценарий может быть создан посредством файла, запущенного с помощью пакета Go run; он был протестирован с помощью Go версии 1.16.6.


Узнайте, как защитить свою организацию от современных кибератак с помощью продуктов CrowdStrike.


iIT Distribution – официальный дистрибьютор решений от CrowdStrike, которые позволяют компаниям использовать передовые технологии в области построения бесперебойной защиты своих IT-инфраструктур. Мы тесно сотрудничаем с нашими клиентами, предоставляя полный комплекс услуг по сопровождению проектов.


Назад

КАК НЕ СТАТЬ «НЕПРОИЗВОЛЬНЫМ СООБЩНИКОМ» РОССИЙСКИХ КИБЕРАТАК НА УКРАИНСКИЕ СИСТЕМЫ (PART 3)

Новость

Примите активные меры защиты своей организации, чтобы не оказаться марионеткой в руках русских киберзлоумышленников


Какую пользу приносит информации в двух предыдущих статьях нашей серии? Она наглядно демонстрирует: множество организаций по всему миру имеют сервисы, способствующие атакам на украинскую цифровую инфраструктуру. И хотя эти атаки не являются преднамеренными, поскольку речь идет о вполне законных системах, которые были превращены в DDoS-оружие, ИТ-специалистам уже сейчас следует пересмотреть свои службы и принять должные меры обеспечения безопасности, используя все свои инструменты защиты, а не только системы защиты от DDoS.


Шаги по решению этой проблемы могут включать в себя:

  • Отключение любых второстепенных служб, которые могут генерировать потенциальные атаки.
  • Изучение подозрительных потоков трафика, исходящих из организации вокруг протоколов, которые могут быть использованы в атаках усиления и отражения, в частности, UDP-сервисов (например, традиционных протоколов, таких как DNS, NTP и т.д., и менее распространенных протоколов, таких как ARD, CLDAP и т.д.)
  • Активизация имеющихся средств контроля доступа на брандмауэрах и сетевом оборудовании для предотвращенія использования систем в качестве оружия.
  • Проверка того, все ли системы исправлены и обновлены для борьбы с известными CVE.
  • Изучение рекомендаций из различных источников: CISA, информация от производителей и другие ресурсы, которые способны помочь в вопросах безопасности. Будьте в курсе развития ситуации, а затем предпринимайте соответствующие шаги по обеспечению защиты своих систем.
  • Проверка работоспособности соответствующих процедур защиты на случай кибератаки. Это особенно важно в тех ситуациях, когда DDoS-атаки используются в качестве «дымовой завесы» для отвлечения внимания от других атак.


Специализированные системы защиты от DDoS-атак также обеспечивают повышенный уровень безопасности, позволяя использовать такие методы борьбы, как составление действенных крупноформатных списков угроз, опираясь на различные базы данных об угрозах; проверка аномалий трафика; поиск нарушений базовой линии трафика; использование искусственного интеллекта (AI) и машинного обучения (ML) и многое другое.

Важно отметить, что организациям следует использовать все доступные средства наблюдения и отчетности, чтобы получить полную картину состояния сети для предотвращения вышеупомянутых аномальных действий.


Распространение более масштабных и интенсивных DDoS-атак свидетельствуют о том, что защитные меры должны быть приняты уже сейчас

DDoS-атаки усиления и отражения по-прежнему являются быстрыми, дешевыми и простыми в исполнении. Данные, приведенные в отчете A10 DDoS Attack Mitigation: A Threat Intelligence Report, указывают на новую, крупнейшую из всех зарегистрированных атаку, которая побила все прошлогодние рекорды (3,47 Тбит/с и 340 миллионов пакетов в секунду) и о которой компания Microsoft сообщила в январе 2022 года. Это подчеркивает внушительный размах, который могут иметь эти скоординированные атаки. И также указывает на то, что будущие атаки могут быть гораздо более масштабными. Компания Microsoft уже защитила себя от них, имея в своем арсенале все средства как для обнаружения, так и для смягчения их последствий.

Неподготовленные к атакам организации в свою очередь чаще попадают в заголовки газет или способствуют распространению угрозы по множеству систем. Увеличение количества официальных публичных сообщений и широкого освещения проблемы приводит к повышению осведомленности о киберугрозах и помогает сообществам ИТ-специалистов улучшить процесс планирования шагов по смягчению угроз и ограничению сбоев. В качестве примера можно привести DDoS-атаки Mirai в 2016 году, которые хорошенько встряхнули ряд организаций, заставив их усилить свою защиту. Это привело к появлению некоторых новых успешных механизмов смягчения последствий атак, которые мы наблюдаем сегодня.


Вывод: будьте в числе компаний, всесторонне подготовленных к потенциальным атакам

Выполняя вышеуказанные шаги по обеспечению защиты систем, организации могут быть уверенными в том, что они не станут разрушительной марионеткой в руках русских преступных субъектов, стремящихся нарушить работу интернет-сервисов и другой критически важной инфраструктуры в Украине. Согласно исследованиям A10 Networks, определенные типы организаций и регионы стали реальной мишенью для российских атак. В связи с изменчивым ландшафтом угроз, организациям в чувствительных секторах по всему миру, будь то правительственные, военные или критически важные коммерческие инфраструктуры, рекомендуется пересмотреть свои службы, чтобы не стать посредником злоумышленной деятельности.


iIT Distribution - официальный дистрибьютор передовых решений от A10 Networks на территориях Украины, Грузии, Казахстана и Узбекистана. Мы благодарны компании А10 за трансляцию антизахватнической позиции путем внедрения мер по подавлению российских атак на украинские системы!

Со своей стороны iITD и в дальнейшем будет помогать своим клиентам в подборе и внедрении продуктов защиты этого вендора.

Назад

CrowdStrike Falcon защищает от нового вредоносного ПО типа Wiper, используемого в кибератаках против Украины

Новость

CrowdStrike – компанія, яка може пишатися не лише своїми високоякісними та потужними рішеннями для захисту кінцевих точок, а й розвиненою корпоративною політикою. Компанія з першого дня свого існування співпрацює лише з країнами, які демонструють свою відданість європейським цінностям та ненасильницькій політиці. Команда CrowdStrike не розділяє бізнес та моральну складову. У той час, як багато IT-компаній у світлі сьогоднішніх кривавих подій в Україні лише починають усвідомлювати всю низькоморальність тіньової сторони країни-агресора, CrowdStrike жодного разу з моменту створення не працювала з такими країнами як росія, Іран, Китай, Північна Корея тощо. Ми закликаємо й інші IT-компанії припинити партнерські відносини з країною-агресором і щиро радіємо тому, що вже більшість наших вендорів це зробили.


23 февраля 2022 года стало известно о появлении новой вредоносной wiper-программы, поразившей украинские системы. После серии атак типа "denial-of-service" и взлома ряда украинских веб-сайтов новая вредоносная программа нарушила работу главной загрузочной записи (MBR), а также разделов и файловой системы всех доступных физических дисков на машинах Windows.

Разведка CrowdStrike дала название этому новому разрушительному ПО — DriveSlayer, и это уже вторая программа типа Wiper, поразившая Украину в свете недавних атак с использованием вредоносной программы WhisperGate. DriveSlayer имеет цифровую подпись с использованием действующего сертификата. Это ПО злоупотребляет легитимным драйвером EaseUS Partition Master для получения доступа к диску и управления им с целью привести систему в неработоспособное состояние.


Платформа CrowdStrike Falcon способна обеспечить надежную и непрерывную защиту от DriveSlayer и угроз типа wiper, предоставляя возможность отслеживать рабочие нагрузки в реальном времени для защиты клиентов.

Проверьте эффективность решения от CrowdStrike лично, отправив нам запрос на тестирование высокоэффективной платформы Falcon.


Технический анализ

В отличие от WhisperGate, который использует высокоуровневые вызовы API, DriveSlayer использует прямой доступ к диску с целью уничтожения данных.

При инициализации, два дополнительных параметра командной строки могут быть использованы для указания времени сна вредоносной программы перед началом процесса уничтожения и перезагрузкой системы. Если они не указаны, то по умолчанию будет задано значение 20 и 35 минут.

Далее вредоносная программа убеждается в том, что у нее есть соответствующие привилегии для выполнения своих разрушительных действий. Она использует API AdjustTokenPrivileges для присвоения себе следующих привилегий: SeShutdownPrivilege, SeBackupPrivilege и SeLoadDriverPrivilege.

Название привилегии Описание
SeShutdownPrivilege Обеспечивает возможность выключения локальной системы
SeBackupPrivilege Обеспечивает возможность выполнения операций резервного копирования системы
SeLoadDriverPrivilege Обеспечивает возможность загрузки или выгрузки драйвера устройства


Разнообразные драйверы будут загружаться в зависимости от версии системы. Вредоносная программа использует IsWow64Process для определения версии загружаемого драйвера. Эти драйверы хранятся в секции ресурсов двоичного файла и сжимаются с помощью алгоритма Lempel-Ziv. Файл драйвера записывается в system32\drivers с 4-символьным, псевдослучайно сгенерированным именем. Затем этот файл распаковывается с помощью LZCopy в новый файл с расширением ".sys".

Пример названия файла Описание
C:\Windows\System32\drivers\bpdr Драйвер, сжатый с помощью алгоритма Лемпеля-Зива
C:\Windows\System32\drivers\bpdr.sys Декомпрессированный драйвер


Перед загрузкой драйвера вредоносная программа отключает аварийный дамп, устанавливая следующий ключ реестра:

Реестр Значение Описание
HKLM:\SYSTEM\CurrentControlSet\Control\CrashControl\CrashDumpEnabled 0 Отключает аварийный дамп

Для загрузки драйвера создается новая служба с помощью API CreateServiceW. Именем и отображаемым именем для этой службы является 4-символьное значение, используемое для имени файла. Затем StartServiceW запускается в цикле пять раз, чтобы убедиться, что драйвер загружен. Сразу после загрузки драйвера служба уничтожается путем удаления всего ключа реестра.

После завершения процесса загрузки драйвера служба VSS отключается с помощью диспетчера служб управления. Затем создается несколько дополнительных потоков. Один из потоков создается с целью обработки перезагрузки системы. Он будет находиться в режиме сна в течение времени, указанного параметром командной строки, равного 35 минутам, после чего система будет перезагружена вызовом API InitializeSystemShutdownExW.

Другой поток отключает функции пользовательского интерфейса, которые могут предупредить пользователя о подозрительной активности, происходящей в системе, перед итерацией подключенных дисков.

Реестр Значение Описание
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowCompColor
0 Отключение цветов для сжатых и зашифрованных файлов NTFS
HKU\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowInfoTip
0 Отключение всплывающей информации о папках и элементах рабочего стола


Наконец, вредоносная программа начинает свою разрушительную работу, порождая множество дополнительных потоков, которые перезаписывают файлы на диске и уничтожают таблицы разделов. После перезагрузки системы пользователь увидит пустой экран с надписью "Операционная система отсутствует".


Непрерывный мониторинг и видимость, предоставляемые платформой Falcon останавливают разрушительное влияние DriveSlayer

Платформа Falcon использует многоуровневый подход для защиты рабочих нагрузок. Используя on-sensor и cloud-based машинное обучение, behavior-based обнаружение с использованием индикаторов атак (IOA) и разведданные о тактиках, методах и процедурах (TTP), применяемых субъектами угроз, платформа Falcon обеспечивает видимость, обнаружение и непрерывный мониторинг для любой среды, сокращая время на поиск и устранение угроз.

Как показано на рисунке 1, платформа Falcon использует облачное машинное обучение для обнаружения DriveSlayer и предотвращения выполнения вредоносной программой зловредных действий, таких как загрузка дополнительных компонентов.


Рисунок 1. Облачное машинное обучение платформы Falcon обнаруживает DriveSlayer wiper


IOA платформы Falcon, основанные на поведенческих факторах, могут выявлять и предотвращать выполнение подозрительных процессов или загрузку дополнительных компонентов, а также другие виды вредоносного поведения. Например, Falcon способен определить такое поведение DriveSlayer, как вмешательство в определенные ключи реестра. Behavior-based выявление дополнительно накладывается на традиционное обнаружение хэшей на основе индикаторов компрометации (IOC) (см. Рисунок 2).


Рисунок 2. CrowdStrike Falcon выявляет и предотвращает деструктивную деятельность DriveSlayer


DriveSlayer не имеет встроенных технологий распространения по инфраструктурам, а сведения о его использовании в атаках на украинские системы пока ограничены. Компания CrowdStrike и дальше будет следить за ситуацией и сообщать о происходящем по мере ее развития.

Клиенты CrowdStrike Falcon могут осуществлять проактивный мониторинг своих сред с помощью hunting-запросов для выявления индикаторов присутствия DriveSlayer. Ознакомьтесь с кратким описанием DriveSlayer и способами его поиска на портале поддержки CrowdStrike.

iIT Distribution как официальный дистрибьютор решений компании CrowdStrike настоятельно рекомендуем организациям, сталкивающимися с рисками киберинцидентов, принять меры по повышению своей операционной устойчивости. Решения безопасности от CrowdStrike способны защитить от вредоносного ПО и угрозы уничтожения данных, обеспечивая полную видимость среды и интеллектуальный мониторинг облачных ресурсов с целью обнаружения и реагирования на потенциальные угрозы - в том числе разрушительные - и ограничения возможного ущерба.

Назад

Как не стать «непроизвольным сообщником» российских кибератак на украинские системы (часть 2)

Новость

Исследовательская security-группа A10 Networks активно отслеживает атаки на украинские системы


В предыдущей статье этой серии мы рассмотрели разведданные от компании А10, позволяющие понять характер финансируемых российским правительством свежих киберпреступлений, направленных на украинские цели. Массовый всплеск атак на украинские государственные системы пришелся на первый же день российско-украинской войны.


Напомним две основные цели, на которые была направлена российская скоординированная DDoS-атакаотражения/усиления (DDoS Amplification and Reflection Attacks):

  • ПП "Инфосервис-Линк" с более чем двумя миллионами запросов на Apple Remote Desktop (ARD). Эта цель входит в блок IP-адресов 194.79.8.0, подвязанных своей геолокацией к одному из крупнейших городов Украины – Харькову. В то же время, информация whois идентифицирует ее как Северодонецк, Луганская область, Украина, Луганск.
  • Секретариат Кабинета Министров Украины – более 600 000 запросов к NetworkTimeProtocol (NTP).


Изучая эти атаки, мы видим, что они были схожими, но не идентичными. Например, вторая цель была направлена на запрос протокола сетевого времени (NTP) для DDoS-атаки усиления и отражения на UDP-порту 123, что является довольно распространенным явлением, в то время как первая цель имела запросы к менее распространенному протоколу Apple Remote Desktop (ARD) на UDP-порту 3,283.


Рисунок 1: Протоколы, направленные на украинские зарегистрированные ASN по протоколу UDP 24 февраля 2022 года на единственный honeypot. Соответсвенно, ARD, NTP и CLDAP являются самыми запрашиваемыми. В течение следующих шести дней NTP стал самым крупным протоколом, наблюдаемым на этом же honeypot после всплеска активности во время первого дня войны


Поскольку речь идет о портах UDP, они не имеют соединения (в отличие от TCP, ориентированного на соединение), что позволяет подменить адрес источника, маскируя запрашивающего и, в то же время, отражая ответ назначенной жертве, получающей большую, усиленную полезную нагрузку. Именно поэтому злоумышленники предпочитают техники усиления и отражения.


ARD, например, может иметь коэффициент усиления, более чем в 34 раза превышающий исходный запрос. Для атаки ARD на первую цель, по оценкам A10 Networks, большинство запрашиваемых пакетов составляли 370 байт (70%). Однако, учитывая большое количество пакетов размером 1 014 байт (23%), мы можем вычислить среднее значение в ~500 байт. Если умножить 500 байт на 2 099 092 запроса, то получится 1049546000 байтили чуть больше 1 гигабайта, и все они были запрошены с одной машины.


В отчете «A10 DDoS Attack Mitigation: A Threat Intelligence Report», ни один из этих протоколов не входит в пятерку лидеров. Согласно исследованиям, существует 30 622 единиц потенциального DDoS-оружия для ARD, которые отслеживает A10. Использование только 10 процентов из них теоретически может сгенерировать 3,2 терабайта трафика, а использование 50 процентов - 16 терабайт трафика.

Рисунок 2: Топ-10 локализаций ARD UDP потенциального DDoS-оружия, которое отслеживает A10, по странам и в целом


Сравнивая протокол ARD, идентифицированный против первой цели кибератаки, мы видим, что существует 30 622 единиц оружия, отслеживаемых A10, но 18 290 (59%) находятся в США. Хотя такого оружия много, это наглядно иллюстрирует, что ИТ-подразделения за пределами воюющих стран могут быть активно вовлечены в киберконфликты. Если принять меры, эти организации могут напрямую помочь минимизировать ущерб, нанесенный Украине. Анализируемый нами honeypot базировался в США.


Как указано выше, два примера, освещенные 24 февраля, были чрезвычайно масштабными. Однако мы наблюдаем постоянный рост числа более мелких атак на цели в Украине с использованием различных протоколов UDP. Сочетание этих протоколов менялось с течением времени. В первый день доминировал ARD, а в последующие шесть дней - NTP. Таким образом, владельцам необходимо следить за тем, чтобы их системы не использовались для осуществления русских кибератак и незаконной деятельности, направленой на украинские цели.


Узнайте больше о компании А10 Networks и его высокоэффективные решения.

Продолжение следует. Следите за обновлениями, чтобы не пропустить третью часть серии статей от iIT Distribution и A10 Networks!

Назад

ИССЛЕДОВАНИЕ SECURITY-ГРУППЫ A10 NETWORKS: КАК НЕ СТАТЬ «НЕПРОИЗВОЛЬНЫМ СООБЩНИКОМ» РОССИЙСКИХ КИБЕРАТАК НА УКРАИНСКИЕ СИСТЕМЫ

Новость

Исследовательская security-группа A10 Networks активно отслеживает атаки на украинские системы

Компания A10 Networks – один из тех вендоров, который деятельно поддерживает Украину в это особо нелегкое для нее время, всеми путями осуждая преступления россии против украинской нации. В связи с российско-украинской войной, которая шокирует масштабами своего кровопролития, российские террористы уделяют особое внимание не только территориальным наступлениям, но и дистабилизирующим кибератакам на украинские системы, спонсируемые российским государством. Требуются незамедлительные меры по пресечению этой разрушительной деятельности, а также потенциальных вредоносных последствий для других стран. Необходимо действовать уже сейчас. В этой серии статей мы подробно расскажем об особенностях и деталях новых кибератак, замеченных исследовательской security-группой компании A10 Networks. Узнайте о том, какие действия стоит предпринять ради смягчения последствий русских кибератак и как именно убедиться, что вы не являетесь "невольными сообщниками" агрессора.


Отчеты и рекомендации по векторам угроз

Атаки, спонсируемые государством, не новы. Мир видел случаи, в которых ряд крупных предприятий из таких сфер, как банковское дело, здравоохранение и государственные структуры, подвергались масшабным DDoS-атакам, попадая в заголовки газет. Но что касается нынешнего киберконфликта, он ведется сразу по нескольким фронтам: недавние отчеты содержали информацию о вредоносных ПО, DDoS-атаках и повреждении украинских веб-сайтов.Руководство Агентства по кибербезопасности и защите инфраструктуры (CISA), входящего в состав Министерства внутренней безопасности США, предупреждает о новой угрозе:

"Вероятны дальнейшие подрывные кибератаки против украинских организаций, которые могут непреднамеренно затронуть организациии в других странах. Компаниям следует повысить свою бдительность и переоценить свои функциональные возможности, включающие планирование, подготовку, обнаружение и реагирование на подобные угрозы".


Сегодня мы можем наблюдать результаты подготовки к нынешнему киберконфликту. Например, в 2020 году стало известно, что российская ФСБ стремится создать массивный ботнет IoT. Мы также видели сообщения о вредоносных программах с многочисленными вариациями, таких как Wiper, наносящих ущерб путем удаления конфиденциальных данных из целевых компьютерных систем. Кроме того, DDoS-атаки, спонсируемые государством, направлены на правительственные, банковские и образовательные услуги, то есть на организации, которые обслуживают обычных людей. Мы также видим сообщения об ответных атаках со стороны хактивистов. Например, группой Anonymous были взломаны известные российские сайты для размещения антивоенных сообщений группы. Это наглядно демонстрирует то, что как наступательные, так и оборонительныемеры и контрмеры активно принимаются.


DDoS-атаки отражения/усиления (DDoS Amplification and Reflection Attacks) как были, так и остаются нацеленными на Украину

Системы исследовательской security-группы A10 фиксировали мощные и продолжительные атаки на украинские государственные сети и, как следствие, на коммерческие интернет-ресурсы. Массовый всплеск атак пришелся на первый день военного конфликта.

Изучая один из наших исследовательских honeypots и сосредоточившись на всплеске нарушений первого дня, мы видим, что хакеры пытаются вовлечь легитимные системы в скоординированную DDoS-атаку отражения/усиления. Впервые попытка захвата узла honeypot была предпринята через несколько часов после начала первых территориальных нападений на Украину 24 февраля. По ответам на запросы систем, нацеленных на Украину, можно выделить две главные цели:


1) ПП "Инфосервис-Линк" – с более чем двумя миллионами запрошенных ответов на AppleRemoteDesktop (ARD).

2) Секретариат Кабинета Министров Украины – более 600 000 запросов к NetworkTimeProtocol (NTP).


Первая цель по началу несколько неясна из-за своего названия, которое удалось узнать в результате автоматического поиска. При получении углубленной информациио ПП "Инфосервис-Линк" мы видим, что оно относится к блоку IP-адресов 194.79.8.0. Проверяя, куда он был привязан, мы видим, что в одном источнике он указан как геолокация к одному из крупнейших городов Украины - Харькову, в то время как информация whois показывает его как Северодонецк, Луганская область, Украина, Луганск.Флуд на блок, хотя и не на конкретный хост, все же создает DDoS-атаку, с которой сетевое оборудование в принципе должно справиться, если оно не ослаблено. Таким образом, можно сделать вывод, что цель атаки - нанести ущерб множеству приложений, серверов и основной инфраструктуре, обслуживаемой этим блоком и оборудованием.


Вторая цель, - правительственный департамент - выглядит как очевидный источник возможностей для злоумышленников:

"Основной задачей Секретариата является организационное, экспертно-аналитическое, правовое, информационное, материально-техническое обеспечение деятельности Кабинета Министров Украины, правительственных комитетов, Премьер-министра Украины, первого вице-премьер-министра, вице-премьер-министров, министра Кабинета Министров Украины", - Wikipedia.


Рисунок 1: Информация о местоположении из поиска ipinfo.io


Рисунок 2: 645 248 попыток amplification-запроса к одному honeypot за 15 минут


Продолжение следует. Следите за обновлениями!

Компания iIT Distribution является официальным дистрибьютором продуктов от A10 Networks на территории Украины, Казахстана, Грузии и Узбекистана. Мы искренне благодарны А10 за активную трансляцию антизахватнической позиции путем внедрения мер по подавлению российских атак на украинские системы! Со своей стороны iITD и дальше будет помогать своим клиентам в подборе и внедрении самых эффективных киберрешений этого вендора.

Назад

Демонстрація: CrowdStrike Falcon детектує набір вірусів WhisperGate

Статьи и обзоры

Вочевидь, усі ми пам’ятаємо, як з 13 по 14 січня 2022 року низка державних органів України зазнала потужної кібератаки, у результаті якої постраждало 70 національних сайтів (10 з них зазнали безпосереднього втручання в бази даних). Як стало відомо незабаром після інциденту, він був викликаний системою вірусів WhisperGate набором шкідливих програм, діяльність яких спрямована на знищення даних на уражених ресурсах.


Якщо ви зволікали з цим раніше, саме час спрямувати свої сили на підбір по-справжньому ефективного рішення для детектування ризиків та захисту ваших систем. Просто зараз перегляньте видео, яке демонструє потужні можливості CrowdStrike Falcon у покроковому виявленні WhisperGate.


CrowdStrike Falcon — хмарне рішення, яке захищає кінцеві точки шляхом об'єднання антивірусу нового покоління, системи EDR (виявлення і реагування на загрози кінцевих точок) і цілодобової керованої служби пошуку загроз.

Falcon базується на штучному інтелекті (AI) і об'єднує технології, інтелект та досвід в одне просте рішення, яке надійно зупиняє будь-які загрози. Платформа за лічені хвилини забезпечує захист у реальному часі, а ефективні алгоритми штучного інтелекту дозволяють побачити результат вже з першого дня використання. Хмарна інфраструктура та архітектура усувають складність у роботі з різними додатками, забезпечують керованість та швидкість рішення.

Відкрийте для себе рішення від CrowdStrike.


Впевніться в тому, що Falcon не залишить зловмисникам жодного шансу на непомітне проникнення в вашу IT-інфраструктуру та знищення ваших даних в нашому відео.

Якщо ви обізнані – ви озброєні, підвищуйте рівень своєї кіберстійкості та знищуйте такі потужні загрози, як WhisperGate разом з CrowdStrike!

ПЕРЕГЛЯНУТИ ВІДЕО

Назад

Знакомство с процессами Security Operations Center (SOC) и лучшие рекомендации для его эффективной работы от Lepide

Новость

Security Operations Center (SOC) — это подразделение организации, роль которого заключается в постоянном мониторинге, анализе и совершенствовании системы безопасности компании. Как правило, SOC работает круглосуточно, обеспечивая защиту секретных данных и соблюдение соответствующих норм конфиденциальности.

SOC также расследует, устраняет и сообщает об инцидентах. Это подразумевает тесное взаимодействие с группой реагирования на инциденты (Incident Response Team — если таковая существует в компании) для обеспечения оперативного и эффективного устранения ситуаций, угрожающих безопасности.


SOC обычно не участвует в разработке политик и процедур, а занимается мониторингом всех сегментов сети компании на предмет аномальной активности, включая серверы, конечные точки, базы данных, приложения и любое другое сетевое оборудование/программное обеспечение.

Дополнительные виды деятельности, которые охватывает SOC, включают обратную разработку вредоносного ПО (reverse engineering malware), использование методов криптоанализа для выявления слабых мест в криптографических системах организации, а также проведение расширенных криминалистических расследований предыдущих инцидентов безопасности.

Как Security Operations Center работает

Работа SOC обычно начинается со встреч с представителями различных отделов и руководителями с целью сбора информации о текущем состоянии сети организации.

Эти встречи предполагают вопросы о любых проблемах безопасности и известных уязвимостях, а также о превентивных мерах, которые принимаются для их устранения.

SOC также устанавливают, какая именно инфраструктура безопасности была уже развернута в организации, чтобы определить, требуется ли дополнительная инфраструктура. Поскольку одной из ключевых функций SOC является анализ журналов событий, им необходимо убедиться, что они смогут обобщать данные с брандмауэров, IPS/IDS, UBA, DLP и SIEM-решений.

Они также должны иметь возможность осуществлять сбор информации посредством передачи данных, телеметрии, инспекции пакетов данных (deep packet inspection), службы syslog и других методов, чтобы получить всестороннее представление обо всей сетевой активности.

Роли в Security Operations Center

Представители Security Operations Center, как правило, разделены на пять ролей: менеджер, аналитик, исследователь, респондент и аудитор. Однако следует отметить, что в зависимости от размера организации, некоторые члены SOC могут выполнять несколько ролей.

  • Менеджер: Роль менеджера заключается в контроле за всеми областями сетевой безопасности и в том, чтобы в случае необходимости быть способным взять на себя любую роль.
  • Аналитик: Аналитик будет собирать, сопоставлять (коррелировать) и отслеживать журналы событий, создаваемые всеми сетевыми приложениями.
  • Исследователь: Роль исследователя заключается в проведении криминалистического анализа после инцидента безопасности с целью выяснения того, что конкретно произошло и по какой причине.
  • Респондент: Респондент отвечает за организованное реагирование на инциденты безопасности. Это может подразумевать обращение к соответствующим заинтересованным сторонам, уведомление уполномоченных органов власти и, возможно, даже общение с прессой.
  • Аудитор: Аудитор обязан осуществлять аудит всех систем безопасности, чтобы убедиться в том, что они функционируют должным образом и способны удовлетворять соответствующие требования.

Рекомендации для эффективной работы SOC

Следует отметить, что традиционные решения для защиты периметра, такие как AV-программы, брандмауэры и системы предотвращения вторжений, становятся все менее актуальными. Во многом это связано с тем, что IТ-среды становятся более распределенными.

Все больше сотрудников работают дома, используя собственные устройства, и все больше организаций переходят на облачные сервисы. Таким образом, они все чаще руководствуются подходом, ориентированном на данные. Его суть заключается в отслеживании того, как пользователи взаимодействуют с конфиденциальной информацией.

Представители SOC всегда должны быть в курсе последних сведений об угрозах. Это реализовывается посредством сбора информации из новостных ресурсов, сводок и отчетов. Они должны обеспечить своевременное исправление/обновление всех систем, а также получение обновлений сигнатур и оповещений об уязвимостях. SOC должен автоматизировать как можно большее количество процессов, чтобы упростить работу службы безопасности и исключить false positives (ложные срабатывания).


Если вы хотите узнать, как Lepide может помочь вашей команде SOC стать более эффективной благодаря использованию платформы Lepide Data Security Platform, познакомьтесь ближе с этим решением по ссылке.


iIT Distribution предлагает разнообразие решений по кибербезопасности, которые помогут компаниям осуществить всестороннюю защиту и повысить эффективность своих ИТ-структур. Мы тесно сотрудничаем со своими клиентами и партнерами для того, чтобы предоставить полную поддержку в проектировании и реализации заказанных решений.

Назад

7 IT-тенденций 2022 года, которые следует взять на вооружение

Новость

2021 — ще один бурхливий рік, під час якого світ показав нам: якщо в чомусь можна бути впевненими, так це в тому, що все навколо не є статичним. За останні кілька років ми стали свідками масштабної цифровізації підприємств — тепер абсолютно кожна компанія має бути в онлайні скрізь і завжди, інакше вона просто не зможе стати прибутковою. Тому сьогоднішні ставки високі як ніколи: перебої у роботі систем можуть призвести до загрози успіху компанії або навіть краху бізнесу.


Большинство предприятий осознали этот риск, в результате чего IТ-команды занимают значимое место за столом переговоров, когда речь идет о долгосрочной стратегии и успехе бизнеса.


Но как IТ-командам лучше всего планировать свою работу в такие неустойчивые времена? Несмотря на то, что следующий год наверняка подкинет несколько поворотных событий, есть некоторые тенденции, на которые можно уверенно сделать ставку в 2022 году. Пристегивайте ремни и открывайте для себя ТОП-7 технологических прогнозов от команды Automox.


1. "Великий раскол": Место работы сильно влияет не только на культуру компании, но и на успех бизнеса

Невозможно игнорировать разговоры об удаленной/гибридной/распределенной работе, так как они слишком сильно затрагивают каждого из нас. В 2022 году мы увидим, как будет проведена четкая линия, которая ознаменует разделение команд на два лагеря.

Первый лагерь — приверженцы модели гибридной работы, в которой компании позволяют сотрудникам работать вне офиса два-три дня в неделю.

"В этой модели сотрудникам предлагается взять офис и свои рабочие часы с собой домой. Вы по-прежнему ездите на работу, занимаете офисное помещение, ходите в офис, когда ваш ребенок болен. Кроме того, каждая встреча кишит неравноправным общением между виртуальными и очными участниками, которые меняются ежедневно", — говорит генеральный директор Automox Джей Прассл.

Второй лагерь — сторонники распределенной работы, во время которой компании полностью ликвидируют свои офисные помещения и позволяют сотрудникам работать там, где они пожелают.

"Это оказывает давление на методы сотрудничества, коммуникации и адаптации персонала, но при этом позволяет компаниям работать с лучшими сотрудниками, где бы они географически ни находились. Штаб-квартиры исчезают, ставя каждого работника в равные условия. Предприятия могут свободно инвестировать в специальные собрания, которые объединяют людей/команды для построения ценных отношений, обеспечивающих процветание бизнеса", — говорит Джей.


2. Защита производительности ложится на плечи IТ-отдела

До появления COVID-19 компании довольно скептически относились к удаленной работе. Может ли персонал быть продуктивным вдали от офиса? Можем ли мы доверять своим сотрудникам в том, что они будут прорабатывать установленное количество часов?

Последние два года не оставили другого выбора, кроме как экспериментировать. Со второго квартала 2020 года по второй квартал 2021 года производительность труда выросла на 1,8 процента по сравнению со среднегодовым ростом на 1,4 процента с 2005 по 2019 год.

Сейчас дискуссия полностью сместилась c рассмотрения модели полного рабочего дня в офисе к переходу на удаленные и гибридные модели.

"В этом контексте проблема с вашим ноутбуком сводит вашу производительность на нет. Вы больше не можете сдать устройство в ИТ-отдел, получить его во временное пользование или просто пойти на встречу без него. Что мы можем сделать, чтобы эти девайсы были безопасны, актуальны, использовались эффективно и обновлялись проактивно? Это именно тот вопрос, на который нам всем предстоит ответить", говорит Паскаль Боргино, VP of Engineering & Architect.


3. Соответствие требованиям не равняется безопасности... Хотя сегодня отчасти и равняется.

Принято говорить, что соответствие требованиям не равно безопасности, однако при правильном подходе принятие таких стандартов, как NIST и CIS, или получение сертификатов, таких как SOC или ISO, дает каждой организации прочный фундамент безопасности, на котором можно строить свою работу. В конечном счете требования соответствия обычно являются хорошим стимулом для внедрения практик, которые обеспечат вам лучшую безопасность в случае атаки.

"За последний год, после таких атак, как Solarwinds, Colonial Pipeline и Kaseya, мы стали свидетелями резкого повышения внимания к Supply Chain и Third Party Risks (TPRM). В наступающем году мы увидим расширение тенденций принятия норм соответствия в качестве стандарта ведения бизнеса, а вместе с этим и острую потребность в автоматизации, устранении последствий и отчетности", — говорит Крис Хасс, директор по безопасности.


4. Нехватка ИТ-специалистов — выгода для MSP (Managed service provider)

По мере того как все больше организаций (как новых, так и нецифровых) будут развивать свое цифровое присутствие, мы станем свидетелями массовой нехватки IТ-специалистов во всем мире. IТ-команды и без этого рассредоточены, а непрерывный переход к цифровым технологиям приведет к высокой конкуренции при найме и резкому росту поставщиков управляемых услуг (MSP).

"MSP уже давно являются "инструментом" управления IТ-инфраструктурой для организаций, и 2022 год — не исключение. Большим сдвигом станет увеличение числа средних коммерческих предприятий, которые начнут использовать MSP в качестве дополнения к своим существующим IТ-группам. Кроме того, команды будут чаще, чем когда-либо прежде, использовать преимущества автоматизации как способа справиться с ситуацией в краткосрочной перспективе, в то время как в долгосрочной перспективе произойдет переход на новый способ реализации IТ-операций", — говорит Джей Гудман, Director of Product Marketing.


5. Попрощайтесь со "сбором" данных

Данные являются краеугольным камнем IТ-аналитики, и компаниям необходимо принимать решения быстрее.

"Мы больше не можем позволить себе тратить циклы сбора данных, чтобы ответить на вопросы бизнеса. Ответ должен приходить в течение нескольких минут, а это значит, что данные уже должны быть готовы к обработке", — говорит Паскаль.

Так на какие же бизнес-вопросы руководители должны иметь легкодоступные ответы в своих руках?

  • Насколько мой бизнес соответствует требованиям?
  • Находится ли мое предприятие в зоне риска? Подвержено ли оно риску?
  • Присутствуют ли неэффективные процессы?
  • Влияют ли третьи лица на производительность моих сотрудников?
  • На что я не обращаю внимания?
  • Адаптирована ли моя IТ-стратегия к современным бизнес-потребностям?


6. ITOps начинают догонять SecOps

В начале 2020 года мы видели, как команды SecOps начали отходить от локальных инструментов. По мере сворачивания использования устаревшего программного обеспечения, брандмауэры, CASB, веб-шлюзы и другие инструменты также будут переходить на облачную инфраструктуру.

"Поскольку долгосрочные контракты на использование инструментов SecOps истекают в течение следующих 12-18 месяцев, мы будем наблюдать крупную волну консолидации и трансформации инструментов в облако для SecOps. И как только это произойдет, основное внимание будет уделено инструментам ITOps и тому, как организации смогут использовать их для реализации преимуществ, полученных от SecOps за последние пять лет", — говорит Джей Гудман.


7. Решения, нацеленные на поддержание психического здоровья и безопасности сотрудников, важны для IТ-команд

Пандемия выявила множество пробелов в защите инфраструктуры и оптимизации IТ, но как насчет психического здоровья сотрудников? Это деликатная тема, но в современных реалиях компании должны уделять внимание здоровью и производительности своих IТ-команд так же, как и своей IТ-инфраструктуре.

"Психическое здоровье и безопасность на рабочем месте становятся все более актуальными для организаций, однако сегодня существует мало решений, которые могут предложить научно подтвержденные, прошедшие экспертную оценку данные о состоянии психического здоровья сотрудников. Помимо инструментов для отслеживания вакцинирования в соответствии с правительственными постановлениями, существуют решения для отслеживания поведения, но они в основном ориентированы на продуктивность сотрудников и не нравятся конечным пользователям как навязчивые и вторгающиеся в частную жизнь. Эта потребность будет становиться все более актуальной, поскольку долгосрочные последствия пандемии еще в значительной степени неизвестны, и вариативные риски продолжают оцениваться", — говорит Николас Колайер, Staff Product Manager.


Какой главный вывод можно вынести из 2021 года? Роль ITOps наконец-то заслуженно признается ключевым элементом общего успеха бизнеса. Вклад IT-команды чрезвычайно важен для производительности, безопасности и итоговых показателей организации.

Современные IТ-руководители заслуживают большего, чем устаревшие инструменты для управления инфраструктурой. С помощью облачной платформы Automox автоматизируйте и масштабируйте свои IТ-операции, чтобы соответствовать растущим требованиям современного бизнеса. Благодаря полной видимости всей среды вы сможете легко отслеживать, выявлять и реагировать на проблемы в режиме реального времени на любом конечном устройстве, независимо от ОС и местоположения.

Узнайте больше о решениях от Automox.


Компания iIT Distribution – поставщик новейших решений и инструментов, позволяющих корпоративным клиентам использовать передовые технологии в области построения и обслуживания IT-инфраструктуры и обеспечения кибербезопасности. Наши специалисты проведут предварительную экспертизу проекта и оценят наличие условий его реализации на предприятии.

Назад

6 афер, которые вы можете избежать в эти рождественские праздники. Выборка рекомендаций от Panda Security

Новость

Рождественские и новогодние праздники – время радости и добра, но, к сожалению, киберпреступникам на это плевать. На деле многие из них используютРождество как удачную возможность нацелитьсяна еще большее количество жертв, расшириввекторы своих атак.


Чтобы вы не теряли своей бдительности, напомним вам о шести видах мошенничества, которых следует остерегаться в этот праздничный сезон, а также предлагаем ознакомиться со статьями-рекомендациями от компании Panda Security:


Фишинговые письма

Фишинговые письма – это невероятно эффективный способ обманом заставить ничего не подозревающих людей загрузить вредоносное ПО или раскрыть свои конфиденциальные эмейл-письма. Праздники – кладезь инфоповодов для создания убедительных тематических писем-уловок. Подробнее о том, как распознать фишинговое письмо, вы можете узнать здесь.


Мошенничество в сфере IT-поддержки

Это мошенничество предполагает попытку запугать вас, чтобы вы беспрепятственно передали аферисту контроль над своим компьютером и личные данные. Злоумышленник скажет вам, что ваше устройство заражено и что он, естественно, сможет помочь мигом решить проблему, загрузив приложение поддержки. И вот тут-то и начинаются проблемы. Узнайте больше здесь.


Телефонное мошенничество, связанное с Amazon

В один прекрасны день на ваш личный номер могут позвонить – и вы услышите записанное сообщение от отдела по борьбе с мошенничеством Amazon с информацией о дорогом товаре, который только что был заказан на ваш счет. Если вы не узнаете транзакцию (а вы, конечно, ее не узнаете), вас попросят нажать 1, чтобы сообщить о проблеме. После этого вас соединят с агентом, который попросит ваши банковские реквизиты для возврата денег, но в итоге эти данные будут использоваться для того, чтобы опустошить ваш банковский счет. Узнайте больше о том, как бороться с телефонным мошенничеством здесь.


Поддельные веб-сайты

Мошенники ежегодно создают тысячи поддельных сайтов. Они действительно очень похожи на известные магазины электронной коммерции и способны вызвать доверие покупателя, но на самом деле ни одного из товаров, представленных в каталоге, не существует. Мошенники таким образом просто пытаются, опять-таки, получить данные вашей кредитной карты. Узнайте больше о поддельных веб-сайтах здесь.


Malware в электронных открытках

Электронные открытки быстрее, проще и экологичнее бумажных. Они становятся все более популярным способом поздравить друзей и близких с наступающими праздниками. Мошенники присылают поддельные электронные письма с просьбой нажать на ссылку, чтобы получатель открыл открытку и загрузил программу установки вредоносного ПО.


Мошенничество, связанное с темой Covid-19

Получили звонок или электронное письмо, в котором вам сообщили, что вы вступили в контакт с человеком, который имеет положительный результат теста на Covid? Обычно в таких ситуациях вас могут попросить назвать свое имя и адрес. Но если вас опросят предоставить финансовые данные или произвести какой-либо платеж – вы имеете дело с мошенником.


Надеемся, эти подсказки помогут вам не стать жертвой преступлений в новом году. К тому же вы имеете возможность значительно повысить эффективность своей защиты с помощью антивирусных ПО Panda Security. На нашем сайте вы всегда можете заказать демо-версию интересующих вас программ.

Узнать больше о решениях компании Panda Security.


Компания iIT Distribution помнит о современных рисках информационной безопасности и помогает улучшить киберситуацию многих компаний, ведь мы не только обеспечиваем поставку ПО и технического оборудования, но и предоставляем полный комплекс услуг по сопровождению проектов.

Назад

11 шагов на пути к восстановлению после фишинговой атаки: рекомендации от Lepide

Новость

Чаще всего фишинговые атаки распространяются в виде электронного письма - это именно тот тип атаки, когда злоумышленник притворяется доверительным лицом для того, чтобы заставить жертву перейти за ссылкой на вредоносный сайт или загрузить вредное приложение.


Целью фишинговой атаки обычно является получение конфиденциальной информации, например, данных платежных карт или учетных данных пользователя.

В последние годы фишинговые атаки стали более целенаправленными и изощренными, поэтому не стоит ругать себя, если вы попались на одну из них. Однако в таком случае необходимо действовать быстро, чтобы оправиться от агрессивных происков злоумышленников и минимизировать ущерб, который они могут нанести.

Ниже перечислены основные шаги для восстановления после фишинговой атаки, с помощью которых вы защитите свои данные и сможете предотвратить дальнейшие сбои в работе вашего бизнеса.


Шаг 1. Отключите устройство от Интернета

Это снизит риск распространения вредоносного программного обеспечения по сети. Либо найдите настройки Wi-Fi и отключитесь от сети. Также можно просто отсоединить интернет-кабель от устройства.


Шаг 2. Измените свои пароли

Если вас перенаправили на поддельный сайт и попросили ввести учетные данные, перейдите на настоящий сайт и смените пароли. Если вы используете одни и те же учетные данные для нескольких учетных записей, вам следует сменить пароли везде, где они упоминаются. Возможно, стоит также изменить подсказки и секретные вопросы. Для повышенной осторожности следует провести сброс пароля в масштабах всей компании.


Шаг 3. Сканирование сети на наличие вредоносных программ

Хотя ваше антивирусное программное обеспечение сделает все возможное, чтобы сообщить вам о заражении, это решение не является до конца надежными. Необходимо провести полное сканирование сети на наличие вредоносного ПО, включая все устройства, файлы, приложения, серверы и т.п.


Шаг 4. Проверьте наличие признаков кражи личных данных

Если вы считаете, что стали жертвой фишинговой аферы, вам следует проверить все соответствующие учетные записи на наличие признаков кражи личных данных. Например, вам необходимо просмотреть банковские выписки на предмет подозрительных транзакций. В большинстве случаев ваш банк предупредит вас о любой активности на счете, которая не будет вызывать доверия. А также вам следует уведомить о происшествии соответствующие агентства кредитных историй.


Шаг 5. Поговорите с сотрудниками о случившемся

Вам необходимо расспросить всех соответствующих сотрудников о том, что и когда они видели. Видели ли они что-нибудь подозрительное? Перешли ли они по ссылке или загрузили вложение?

Шаг 6. Проведите криминалистический анализ, чтобы определить причину инцидента.

На этом этапе тщательно изччите все соответствующие журналы на предмет признаков компрометации, а также убедитесь, что они сохраняются в течение достаточного периода времени. Вам необходимо проверить логи брандмауэра на наличие подозрительного сетевого трафика, обращая внимание на любые нераспознанные URL и IP-адреса. Вам также следует просмотреть журналы почтового сервера, чтобы узнать, кто получил фишинговое письмо, а также журналы DNS, чтобы определить, кто из пользователей выполнял поиск по вредоносным доменам. Нелишним будет снять копию фишингового письма и просмотреть заголовки и вложения, чтобы выяснить характер и цель атаки. Наконец, если вы используете решение для аудита в режиме реального времени, проверьте журналы на предмет подозрительной активности, связанной с конфиденциальными данными и учетными записями привилегированных пользователей.


Шаг 7: Настройте спам-фильтры для блокирования похожих писем

После того как у вас появится представление о том, что произошло, вы сможете пересмотреть настройки безопасности электронной почты, чтобы убедиться, что подобные сообщения блокируются.


Шаг 8: Выполните поиск в Интернете для получения дополнительной информации об атаке

Теперь, когда вы собрали достаточное количество информации о характере и цели атаки, вам следует выполнить поиск в Интернете, чтобы получить больше информации о том, чего следует ожидать. Поинтересуйтесь опытом других пользователей. Поищите дальнейшие шаги, которые необходимо предпринять для восстановления после инцидента и предотвращения будущих атак.


Шаг 9: Убедитесь, что все сотрудники осведомлены об инциденте

Чтобы смягчить последствия будущих атак, необходимо убедиться, что весь соответствующий персонал (включая руководителей) был проинформирован об атаке и знает, на что следует обратить внимание.


Шаг 10. Свяжитесь с организацией, от имени которой было совершенно мошенничество.

Если фишинговое письмо было отправлено под видом письма от законной организации, вам следует связаться с ней и сообщить о случившемся. Таким образом, данная организация может отправить электронное письмо своим клиентам, предупредив их о необходимости быть начеку.


11. Сделайте резервную копию и обновите программное обеспечение

После кибератаки не лишним будет сделать резервную копию данных на случай, если в процессе устранения последствий какая-либо информация будет удалена. Вам также необходимо убедиться, что все программное обеспечение своевременно исправлено, поскольку многие виды вредоносного ПО пытаются использовать уязвимости программного обеспечения для распространения на другие части сети.


iIT Distribution предлагает разнообразие решений по кибербезопасности, которые помогут компаниям осуществить всестороннюю защиту и повысить эффективность своих ИТ-структур. Мы тесно сотрудничаем со своими партнерами для того, чтобы предоставить полную поддержку в проектировании и реализации заказанных решений.

Узнайте больше о компании Lepide и ее решениях!

Назад

Mobile Marketing
+